A equipe de pesquisa em segurança da informação da Varonis, a Varonis Security Research, identificou uma campanha global de ataques cibernéticos para espalhar uma variante do malware bancário Qbot. O objetivo do vírus é roubar informações financeiras, como credenciais bancárias e há milhares de vítimas comprometidas e sob controle ativo de invasores em todo o mundo.

No momento, os ataques estão direcionados a empresas nos EUA, mas, conforme chegam à rede, se espalham rapidamente e fazem vítimas na Europa, na Ásia e na América do Sul. A ameaça emprega técnicas de antianálise, de forma a desviar mecanismos de detecção. O Qbot é um malware polimórfico, que está em constante mudança: ele cria arquivos e pastas com nomes aleatórios, troca frequentemente de servidor de comando e controle, bem como muda de carregador sempre que há uma conexão de internet ativa.

O ataque foi detectado inicialmente pelo Varonis DatAlert. O sistema usa a tecnologia User Behaviour Analytics, que permite ver ameaças internas com base no comportamento do usuário e alerta sobre atividades suspeitas na rede, como ações “conta-gotas” e movimentos laterais internos.

Depois da identificação, os especialistas da Varonis analisaram o ataque e descobriram qual era o servidor ativo de comando e controle usado e a escala do ataque. Dessa forma, foi possível constatar que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo dos invasores.

Segundo os pesquisadores, o malware chega em um arquivo .zip e tem um documento com a extensão “.doc.vbs”. Isso indica que a primeira infecção ocorre, provavelmente, por meio de um e-mail de phishing, que leva a vítima a clicar no arquivo malicioso. Depois de ativado, o Qbot busca por antivírus instalados no sistema e faz o download do malware, bem como as alterações necessárias para não ser identificado. Se não houver conexão com a internet, ele copia a si mesmo em diferentes locais e, até que possa enviar informações, as armazena e criptografa dentro do próprio dispositivo.

Por isso, o usuário precisa estar atento: é importante que evite clicar em links suspeitos que possam facilitar o roubo de suas credenciais. Ameaças sofisticadas podem levar mesmo um usuário com alto nível de conhecimento a ser iludido em um momento de distração.